Макафи ругался на рассылку почты services.exe
Printable View
Макафи ругался на рассылку почты services.exe
[B]Отключить восстановление системы[/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431}');
QuarantineFile('C:\Program Files\CCS\Temp\217222A.tmp','');
QuarantineFile('C:\SETUP\DATA\June.exe','');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\Documents and Settings\user\Application Data\WindowsLive.exe','');
QuarantineFile('00000A56.sys','');
TerminateProcessByName('c:\program files\common files\target marketing agency\tmagent\tmasrv.exe');
QuarantineFile('c:\program files\common files\target marketing agency\tmagent\tmasrv.exe','');
TerminateProcessByName('c:\windows\system32\servises.exe');
QuarantineFile('c:\windows\system32\servises.exe','');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('c:\program files\common files\target marketing agency\tmagent\tmasrv.exe');
DeleteFile('00000A56.sys');
DeleteFile('C:\Documents and Settings\user\Application Data\WindowsLive.exe');
DeleteFile('digiwet.dll');
DeleteFile('crypts.dll');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\SETUP\DATA\June.exe');
DeleteFile('C:\Program Files\CCS\Temp\217222A.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновить базы AVZ[/B]
Сделайте новые логи
сюда карантин почемуто не получилось выложить, выложил на свой локальный сервис, извините(((:
[url]http://share.bashtel.ru/download.php?file=657bdd9a157f66a5970b95cc0eae790a[/url]
новые логи прилагаются тоже
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O1 - Hosts: 88.198.72.190 css.yandex.net #AdwMtam_MicroSoft
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O20 - Winlogon Notify: crypt - C:\WINDOWS\
[/code]
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\eneorz.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\eneorz.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ljoqykqv');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите логи.
на компьютере стоит винда порезаная гейм едишн, там вкладки восстановления системы нету)) (скрин прикрепил)
Файл сохранён как 090727_171727_virus_4a6da8e740f88.zip
Размер файла 495851
MD5 365417abd3a19ad5f960837631d1a5b7
Файл закачан, спасибо!
Выполните скрипт:
[CODE]begin
ExecuteRepair(13);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После перезагрузки проверьте наличие вкладки "Восстановление системы". Если появится - отключите для профилактики.
Деинсталлируйте программу Target Marketing Agency.
В логах больше ничего плохого не видно.
скрипт выполнил, но вкладки не появилось
прогу деинсталировал
после всех сегодняшних манипуляций не пускается сервис макафи - висит в службах с надписью "приостановлено"
[size="1"][color="#666686"][B][I]Добавлено через 1 час 9 минут[/I][/B][/color][/size]
проблемы были в самой макаке - переустановил - вроде все работает
всем спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\eneorz.sys - [B]Rootkit.Win32.Pakes.ou[/B] ( DrWEB: Trojan.NtRootKit.2714, BitDefender: Trojan.Generic.1642169 )[/LIST][/LIST]